CVE-2025-67623：6Storage Rentals 中的服务器端请求伪造 (SSRF) 漏洞

严重性：严重 类型：漏洞 CVE：CVE-2025-67623

6Storage 6Storage Rentals (6storage-rentals) 中存在服务器端请求伪造漏洞，允许进行服务端请求伪造。 此问题影响 6Storage Rentals：从 n/a 版本到 <= 2.19.9 版本。

技术摘要

CVE-2025-67623 是一个在 6Storage Rentals 产品中发现的服务器端请求伪造漏洞，具体影响 2.19.9 及之前的所有版本。SSRF 漏洞发生在攻击者能够操纵服务器向非预期位置发送精心构造的请求时，这些位置通常是内部网络资源或服务器可以访问但攻击者无法直接到达的外部系统。在此案例中，该漏洞允许攻击者迫使 6Storage Rentals 服务器发出任意 HTTP 或其他协议请求，可能会暴露敏感的内部服务或元数据端点。该漏洞无需身份验证或用户交互，降低了利用门槛。尽管目前尚未有公开的漏洞利用报告，但此缺陷存在于用于存储服务的租赁管理平台中，可能使攻击者能够进行侦察、访问内部 API，或在网络内转向攻击其他系统。缺乏 CVSS 评分表明需要进行手动严重性评估。该漏洞的影响包括潜在的未授权数据访问、绕过防火墙规则，以及如果结合其他缺陷可能促成远程代码执行等进一步攻击。发布时补丁的缺失使得必须立即关注监控和缓解策略。该漏洞于 2025 年 12 月被预留和发布，表明是近期发现和披露的。

潜在影响

对于欧洲组织而言，6Storage Rentals 中的 SSRF 漏洞构成了重大风险，特别是对于那些依赖此平台管理存储或租赁服务的组织。漏洞利用可能导致对内部系统的未授权访问，暴露敏感的客户或运营数据。这可能引发保密性破坏、服务中断或后端流程被操纵。鉴于 SSRF 的性质，攻击者可能利用此漏洞绕过边界防御、访问云元数据服务或在网络内提升权限。使用 6Storage Rentals 的物流、仓储和租赁服务等行业的组织可能面临运营中断和声誉损害。此外，如果个人数据被暴露，可能会危及对 GDPR 和其他数据保护法规的合规性。目前缺乏已知的漏洞利用为主动防御提供了一个窗口期，但无需身份验证即可轻易利用的特性增加了紧迫性。在网络分段不良或输入验证不足的环境中，整体影响会更为严重。

缓解建议

为缓解 CVE-2025-67623，欧洲组织应优先采取以下行动：

1. 密切关注供应商通信，一旦 6Storage Rentals 有可用的安全补丁，立即应用。
2. 对所有可能影响服务端请求的用户可控参数实施严格的输入验证和清理，以防止恶意 URL 的注入。
3. 采用网络分段来隔离关键的内部服务，并限制从应用服务器到仅必要目的地的出站流量，从而最小化 SSRF 攻击面。
4. 使用配置了检测和阻止 SSRF 模式规则的 Web 应用防火墙。
5. 在 6Storage Rentals 环境中进行定期的安全评估和渗透测试，重点关注 SSRF 及相关漏洞。
6. 如果平台托管在云环境中，审查并强化云元数据服务的访问控制。
7. 向开发和运维团队普及 SSRF 风险和安全编码实践。这些措施结合对异常出站请求的警惕监控，将降低漏洞被利用的可能性和影响。

受影响国家 德国、法国、英国、荷兰、意大利、西班牙、波兰、瑞典

来源： CVE Database V5 发布日期： 2025年12月24日，星期三

技术详情

• 数据版本： 5.2
• 分配者短名称： Patchstack
• 预留日期： 2025-12-09T16:46:41.863Z
• Cvss 版本： null
• 状态： 已发布
• 威胁 ID： 694bea1c279c98bf57f751eb
• 添加到数据库： 2025年12月24日，下午1:26:52
• 最后丰富信息时间： 2025年12月24日，下午1:50:38
• 最后更新时间： 2025年12月25日，上午4:17:31
• 浏览量： 5